Уязвимость в cups-filters, позволяющая выполнить код на сервере

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 11 месяцев
Сообщений: 27286

news_bot ^® написал(а)
23-Май-2023 01:52

Цитировать

В пакете cups-filters, включающем компоненты для организации работы сервиса печати, найдена уязвимость (CVE-2023-24805), позволяющая удалённо выполнить произвольные команды на сервере печати через отправку специально оформленного задания вывода на печать. В настоящее время исправление доступно в виде патча. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.
Уязвимость проявляется при использовании бэкенда beh (Backend Error Handler) для создания сетевого принтера. Проблема вызвана отсутствием в обработчике должных проверок имени выводимой на печать работы, при том, что данное имя используется в составе команд, выполняемых через функцию system(). Эксплуатация уязвимости сводится к передаче в поле "job-name" имени вида "';/usr/bin/id;'' #.pdf".
===========
Источник:
OpenNet.RU
===========

Уязвимость в cups-filters, позволяющая выполнить код на сервере

Похожие новости